论文部分内容阅读
摘 要: 入侵检测系统作为重要的网络安全工具,它可以对系统或网络资源进行实时检测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。
关键词: 入侵检测系统 分类
入侵检测系统(IDS,Intrusion Detection System)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的有效补充,入侵检测技术能够帮助系统应付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。本文就其几个角度的分类加以简单研究。
一、按数据来源进行分类
1.基于主机的入侵检测系统
该系统通常是安装在被重点检测的主机上,其数据源来自主机,如日志文件、审计记录等。该系统通过监视与分析主机中的上述文件,就能够检测到入侵。能否及时采集到上述文件是这些系统的关键点之一。因为入侵者会将主机的审计子系统作为攻击目标以避开IDS。
2.基于网络的入侵检测系统
此系统使用原始网络包作为数据源。通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:模式、表达式或字节匹配,频率或穿越阀值,次要事件的相关性,统计学意义上的非常规现象检测。一旦检测到了攻击行为,响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接或为法庭分析和证据收集而作的会话记录。
基于网络的IDS有许多仅靠基于主机的入侵检测法无法提供的功能。实际上,许多客户在最初使用IDS时,都配置了基于网络的入侵检测。
二、根据检测原理进行分类
传统观点根据入侵行为的属性将其分为异常和滥用两种,然后分别对其建立异常检测模型和滥用检测模型。近年来又涌现出一些新的检测方法,它们产生的模型对异常和滥用都适用。
1.统计分析与异常检测
统计分析最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的入侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,异常检测经常会出现虚警情况。异常检测可以通过以下系统实现。
(1)自学习系统:通过学习事例构建正常行为模型,分为时序和非时序两种。
(2)编程系统:该类系统需要通过编程学习如何检测确定的异常事件,从而让用户知道什么样的异常行为足以破坏系统的安全。分为描述统计和缺省否认。
2.基于规则分析与滥用检测
滥用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏警。
滥用检测通过对确知决策规则编程实现,可以分为以下四种。
(1)状态建模:它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间,所有状态都存在,则判定为恶意入侵。
(2)专家系统:它可以在给定入侵行为描述规则的情况下,对系统的安全状态进行推理。一般情况下,专家系统的检测能力强大,灵活性也很高,但计算成本较高,通常以降低执行速度为代价。
(3)串匹配:它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差,但易于理解。
(4)基于简单规则:类似于专家系统,但相对简单些,故执行速度快。
3.混合检测
近几年来,混合检测日益受到人们的重视。这类检测在作出决策之前,既分析系统的正常行为,又观察可疑的入侵行为,所以判断更全面、准确、可靠。它通常根据系统的正常数据流背景来检测入侵行为,故而也有人称其为“启发式特征检测”。
参考文献:
[1]韦文思,徐津.信息安全防御技术与实施.电子工业出版社,2009.
[2]罗守山.入侵检测.北京:北京邮电大学出版社,2004.
[3]Intrusion Prevention Systems(IPS).2004.1.
[4]吴灏.网络攻防技术.北京:机械工业出版社,2009.
关键词: 入侵检测系统 分类
入侵检测系统(IDS,Intrusion Detection System)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的有效补充,入侵检测技术能够帮助系统应付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。本文就其几个角度的分类加以简单研究。
一、按数据来源进行分类
1.基于主机的入侵检测系统
该系统通常是安装在被重点检测的主机上,其数据源来自主机,如日志文件、审计记录等。该系统通过监视与分析主机中的上述文件,就能够检测到入侵。能否及时采集到上述文件是这些系统的关键点之一。因为入侵者会将主机的审计子系统作为攻击目标以避开IDS。
2.基于网络的入侵检测系统
此系统使用原始网络包作为数据源。通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:模式、表达式或字节匹配,频率或穿越阀值,次要事件的相关性,统计学意义上的非常规现象检测。一旦检测到了攻击行为,响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接或为法庭分析和证据收集而作的会话记录。
基于网络的IDS有许多仅靠基于主机的入侵检测法无法提供的功能。实际上,许多客户在最初使用IDS时,都配置了基于网络的入侵检测。
二、根据检测原理进行分类
传统观点根据入侵行为的属性将其分为异常和滥用两种,然后分别对其建立异常检测模型和滥用检测模型。近年来又涌现出一些新的检测方法,它们产生的模型对异常和滥用都适用。
1.统计分析与异常检测
统计分析最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的入侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,异常检测经常会出现虚警情况。异常检测可以通过以下系统实现。
(1)自学习系统:通过学习事例构建正常行为模型,分为时序和非时序两种。
(2)编程系统:该类系统需要通过编程学习如何检测确定的异常事件,从而让用户知道什么样的异常行为足以破坏系统的安全。分为描述统计和缺省否认。
2.基于规则分析与滥用检测
滥用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏警。
滥用检测通过对确知决策规则编程实现,可以分为以下四种。
(1)状态建模:它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间,所有状态都存在,则判定为恶意入侵。
(2)专家系统:它可以在给定入侵行为描述规则的情况下,对系统的安全状态进行推理。一般情况下,专家系统的检测能力强大,灵活性也很高,但计算成本较高,通常以降低执行速度为代价。
(3)串匹配:它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差,但易于理解。
(4)基于简单规则:类似于专家系统,但相对简单些,故执行速度快。
3.混合检测
近几年来,混合检测日益受到人们的重视。这类检测在作出决策之前,既分析系统的正常行为,又观察可疑的入侵行为,所以判断更全面、准确、可靠。它通常根据系统的正常数据流背景来检测入侵行为,故而也有人称其为“启发式特征检测”。
参考文献:
[1]韦文思,徐津.信息安全防御技术与实施.电子工业出版社,2009.
[2]罗守山.入侵检测.北京:北京邮电大学出版社,2004.
[3]Intrusion Prevention Systems(IPS).2004.1.
[4]吴灏.网络攻防技术.北京:机械工业出版社,2009.